Pièces jointes malveillantes

Mode de fonctionnement

Les auteurs d'attaques joignent à leur courrier électronique des fichiers capables d'installer un logiciel malveillant lui-même en mesure de détruire des données et de voler des informations. Certaines de ces infections permettent même à l'auteur de l'attaque de prendre le contrôle de l'ordinateur de l'utilisateur, ce qui lui permet d'accéder à son écran, de capturer les saisies au clavier et d'accéder aux autres systèmes du réseau.

Comme la plupart des systèmes de messagerie bloquent automatiquement les programmes à l'évidence malveillants, les attaquants dissimulent un élément logiciel appelé exploit dans d'autres types de fichiers couramment transmis par e-mail, par exemple des documents Microsoft Word ou Adobe PDF, des fichiers ZIP ou RAR, voire des fichiers vidéo ou d'image. Cet exploit tire parti des failles de certains logiciels, puis télécharge le code malveillant prévu, appelé charge utile, sur l'ordinateur. Les auteurs de l'attaque peuvent aussi intégrer une macro malveillante dans le document et faire appel à l'ingénierie sociale pour inciter l'utilisateur à cliquer sur le bouton « Autoriser le contenu », ce qui permettra d'exécuter cette macro pour infecter l'ordinateur de la victime.

Les attaquants accompagnent généralement ces pièces jointes d'un message suffisamment convainquant pour que l'utilisateur pense avoir affaire à une communication légitime.

Comment s'en protéger ?

Commencez par éduquer vos utilisateurs, mais appuyez-vous également sur des solutions de sécurité pour les pièces jointes au courrier électronique.

Installez des programmes antivirus sur les terminaux et les serveurs. Gardez à l'esprit qu'un certain temps s'écoule entre le moment où l'auteur d'une attaque crée un nouveau code malveillant et l'apparition de sa signature dans les bases de données antivirales.  Des tests ont récemment montré que seuls 10 % des moteurs d'antivirus installés sur les terminaux reconnaissent une menace 24 heures après sa sortie. Ce problème est en partie dû à l'approche polymorphique adoptée par de nombreux attaquants pour les logiciels malveillants.

Implémentez une passerelle de messagerie dotée de fonctions d'apprentissage automatique et d'analyse en temps réel de la réputation des adresses IP, capable de déceler les éléments de langage suspects et les expéditeurs douteux. Veillez à ce que cette passerelle puisse décompresser les fichiers d'archive imbriqués (par exemple les fichiers au format .zip et .rar) et bloquer les fichiers exécutables afin d'y rechercher du code potentiellement malveillant. Une autre meilleure pratique consiste également à favoriser la diversité et à augmenter les chances de détection en utilisant différents antivirus sur la passerelle et les terminaux.

Pour un résultat optimal, optez pour une solution de sécurité capable de vérifier les pièces jointes par une analyse statique et dynamique (en sandbox) du code malveillant, réalisée dans le Cloud. Ainsi, le comportement malveillant des pièces jointes sera décelé avant même leur arrivée, et l'analyse ne portera pas seulement sur la mauvaise réputation ou les signatures connues, critères insuffisants pour détecter les attaques de type « zero-day » et polymorphiques.